1、全文 1/2GB中华人民共和国国家标准GB/TIdt ISO/IEC 27006:2007信息技术-安全技术信息安全管理体系审核认证机构的要求Information technology -security technology-Requirements for bodies providing audit and certification of information security management syetems(征求意见稿) 200-发布 200-实施国家质量监督检验检疫总局 发布目 录前言简介1.范围2.规范性引用文件3.术语和定义4.原则5.通用要求5.1 法律和合同事宜5
2、.2 公正性的管理5.3 责任和财力6.结构要求6.1 组织结构和最高管理层6.2 维护公正性的委员会7.资源要求7.1 管理层和人员的能力7.2 参与认证活动的人员7.3 外部审核员和外部技术专家的使用7.4 人员记录7.5 外包8.信息要求8.1 可公开获取的信息8.2 认证文件8.3 获证客户名录8.4 认证的引用和标志的使用8.5 保密性8.6 认证机构和其客户间的信息交换9.过程要求9.1 通用要求9.2 初次审核和认证9.3 监督活动9.4 再认证9.5 特殊审核9.6 暂停、撤消或缩小认证范围9.7 申诉9.8 投诉9.9 申请组织和客户记录10.认证机构的管理体系要求10.1
3、可选方式10.2 方式 1- GB/T19001-2000 质量管理体系 要求10.3 方式 2- 通用的管理体系要求附录 A (资料性)顾客组织复杂性和行业特定方面的分析附录 B (资料性)审核员能力范围的示例附录 C (资料性)审核时间附录 D (资料性)对已实施 ISO/IEC27001:2005 附录 A 的控制复核指南参考书目前 言本标准等同采用 ISO/IEC27006:2007信息技术安全技术信息安全管理体系审核和认证机构的要求 。本标准是信息安全标准族系列标准之一。本标准由全国认证认可标准化技术委员会(SAC/TC 261)和全国信息安全标准化技术委员会(SAC/TC 260
4、)提出并归口。本标准起草单位:本标准参加单位:本标准主要起草人:本标准 200年月日首次发布。本标准由负责解释。简 介ISO/IEC17021 是为进行组织管理体系审核和认证的机构陈述准则的国际标准。如果这类机构根据 ISO/IEC 27001:2005,以审核和认证信息安全管理体系(ISMS)为目的,将被认可为符合 ISO/IEC 17021,附加要求和对 ISO/IEC 17021 的指南是必要的。本标准负责提供。本标准的正文采用了 ISO/IEC 17021 的结构,附加的对信息安全管理体系(ISMS)特定要求和关于信息安全管理体系(ISMS)认证的 ISO/IEC 17021 的应用指
5、南以字母“IS”进行识别。本标准全文使用的术语“应”用于说明反映 ISO/IEC 17021 和 ISO/IEC 27001 中要求的规定是强制性的。使用的术语“宜”说明这些规定虽然是构成对要求应用的指南,但只是期望被认证机构所采用。本标准的目的之一是为了确保认可机构更加有效地协调针对约定的用于评审认证机构的标准的应用。在本文中,认证机构的任何与本指南的偏离视为例外。在认证机构向认可机构证明这种例外以其他等效的方式满足 ISO/IEC17021,ISO/IEC27001 条款的相关要求和本标准的用意,这种偏离只有在具体问题具体分析的基础上才能得到许可。注:本标准全文中的术语“管理体系”和“体系
6、”可替换使用。管理体系的定义见ISO9000:2005。本标准中使用的管理体系不应与其他类型的体系(例如:信息技术体系)混淆。信息技术安全技术-信息安全管理体系审核和认证机构的要求1.范围本标准对信息安全管理体系(以下简称“ISMS” )审核和认证机构规定了要求并提供了指南,以作为对 ISO/IEC17021:2006 和 ISO/IEC27001:2005 中相关要求的补充。任何提供 ISMS 认证的机构需要在能力和可靠性方面证实其满足本标准的要求。本标准的指南为这些要求提供了进一步的解释。注:本标准可以作为认可、同行评审或其他审核过程的准则性文件。2规范性引用文件下列引用的文件是应用本标准
7、所不可缺少的。对于标注日期的引用文件,只有引用的版本适用。对于没有标注日期的引用文件,最新版本的引用文件(包括任何修订版)适用。ISO/IEC 17021:2006 合格评定管理体系审核认证机构的要求ISO/IEC 27001:2005 信息技术安全技术信息安全管理体系要求GB/T19011-2003 质量和/ 或环境管理体系审核指南3术语和定义本标准采用 ISO/IEC 17021:2006,ISO/IEC 27001:2005 中和以下的术语和定义。3.1 认证证书由认证机构根据其认可条件颁发的,并带有认可标识或声明的一种文件。3.2 认证机构按照已发布的 ISMS 标准和该体系所要求的任
8、何补充性文件,对客户组织的 ISMS 进行评定和认证的第三方。3.3 认证文件说明客户组织的 ISMS 符合规定的 ISMS 标准和该体系所要求的任何补充性文件。3.4 标志依法注册的商标或在认可机构或认证机构的规则下颁发的受到保护的标识,显示对机构运行体系具有足够信心,或相关的产品或人员符合规定标准的要求。3.5 组织职责、权限和相互关系得到安排的一组人员及设施。示例:公司、集团、商行、企事业单位、研究机构、慈善机构、代理商、社团或上述组织的部分或组合。4原则ISO/IEC 17021:2006 的 4 条款中的原则适用。5通用要求5.1 法律和合同事宜ISO/IEC 17021:2006
9、的 5.1 条款中的要求适用。5.2 公正性的管理ISO/IEC 17021:2006 的 5.2 条款中的要求适用。另外,以下 ISMS 特定要求和指南适用。5.2.1 利益冲突认证机构可以执行以下职责,而不被视为咨询或具有潜在的利益冲突:a) 认证,包括信息会议、策划会议、文件检查、审核(非 ISMS 内部审核或内部安全复核)和不合格的追踪。b) 作为讲师安排和参与培训课程,如果这些课程与信息安全管理、有关的管理体系或审核相关,认证机构宜仅限于提供公众领域可以免费获取的通用的信息和建议,例如:他们不宜提供针对特定公司的、违反下述 c)的要求的建议;c) 有要求时,提供或发布描述认证机构对认
10、证审核标准要求有关的解释信息;d) 确定认证审核就绪的审核前的活动;但是,这类活动不宜提供违反本条款的建议或意见,并且认证机构 宜能够确认这类活动不违反这些要求,及不使用这些活动来证明缩减最终认证审核时间的合理性;e) 根据标准或法规实施认可范围以外进行的第二方或第三方审核;f) 在认证审核和监督访问过程中增值,例如在审核过程中,当改进机会明显时,通过识别改进的机会而不推荐具体的解决方案来增值。认证机构应独立于对将要认证的客户组织的 ISMS 提供 ISMS 内部审核的机构(包括任何个人)之外。5.3 责任与财力ISO/IEC 17021:2006 的 5.3 条款中的要求适用。6结构要求6.
11、1 组织结构和最高管理层ISO/IEC 17021:2006 的 6.1 条款中的要求适用。6.2 维护公正性的委员会ISO/IEC 17021:2006 的 6.2 条款中的要求适用。7资源要求7.1 管理层和人员的能力ISO/IEC 17021:2006 的 7.1 条款中的要求适用。另外,以下 ISMS 特定要求和指南适用。7.1.1 管理层能力实施 ISMS 认证所需能力的最基本要素是选择、提供和管理其技能和综合能力适合审核活动和相关信息安全问题的人员。7.1.1.1 能力分析和合同评审认证机构应确保了解所评审的客户 ISMS 有关的技术和法律发展的知识。认证机构应根据其运作的全部技术
12、领域,具备对其需提供信息安全管理能力分析的有效体系。对于每个客户,认证机构在实施合同评审前,应能够证实其对每个相关行业的要求进行了能力分析(针对所评估出需求的技能评定) 。然后,认证机构应在能力分析的基础上,与客户组织一起进行合同评审。特别地,认证机构应能够证明其具备完成以下活动的能力:a) 对客户组织的活动领域及相关业务风险的理解;b) 根据所识别的活动和与信息安全相关的对资产的威胁、脆弱性和对客户组织的影响来确定认证机构所需的能力;c) 确认所需能力的可用性。7.1.1.2 资源认证机构的管理应具备必要的过程和资源,以确定每个审核员是否能够胜任在其操作的认证范围所要求的工作。审核员的能力由
13、已验证的背景经历和具体的培训或简历(见附录B)制定。认证机构应能够与其提供服务的所有客户进行有效地沟通。7.2 参与认证活动的人员ISO/IEC 17021:2006 的 7.2 条款中的要求适用。另外,以下 ISMS 特定要求和指南适用。7.2.1 认证机构人员的能力认证机构应具备胜任以下工作的人员:a) 选择和验证适合审核的审核组内的 ISMS 审核员的能力;b) 对 ISMS 审核员进行简单介绍并安排必要的培训;c) 决定授予、保持、撤销、暂停、扩大或缩小认证;d) 建立和运行申诉和投诉过程。7.2.1.1 审核组的培训认证机构应具备培训审核组的准则,以确保:a) 对 ISMS 标准和相
14、关规范性文件的了解;b) 对信息安全的理解;c) 从业务角度,对风险评估和风险管理的理解;d) 对受审活动的技术知识;e) 对与 ISMS 相关的法规要求的通用知识;f) 管理体系的知识;g) 对基于 GB/T19011-2003 的审核原则的理解;h) 对 ISMS 有效性评审和控制措施有效性测量的知识。这些培训要求适用于审核组的所有成员,除了 d)可以在审核组成员之间分享。7.2.1.1.1 当为具体认证审核选择指派审核组时,认证机构应确保的各项工作的技能是适宜的。审核组应:a) 具备要认证的 ISMS 范围内的特定活动的技术知识,以及适宜时,与这些活动相关的规程及其潜在的信息安全风险的技
15、术知识(非审核员的技术专家可以行使此项职责) ;b) 充分理解客户组织,以便对其 ISMS 在活动、产品和服务的管理信息安全方面进行可靠的认证审核;c) 对适用于客户组织的 ISMS 的法规要求的适当的理解。7.2.1.1.2 如必要,审核组可以由能够证明在适宜于审核的技术领域具备特定能力的技术专家进行补充。值得注意的是,技术专家不能作为 ISMS 审核员使用,但可为审核员对正在接受审核的管理体系的技术充分性事宜提供建议。认证机构应具备程序:a) 依据审核员和技术专家的能力、接受的培训、资格和经历,选择审核员和技术专家;b) 在认证审核中,初次对审核员和技术专家的行为进行评审,而后对审核员和技
16、术专家的绩效进行监视。7.2.1.2 决定过程的管理管理职责应具备技术能力和根据 ISO/IEC27001:2005 的要求,对授予、保持、扩大、缩小、撤销和暂停 ISMS 认证决定过程进行管理的能力。7.2.1.3 ISMS 审核员必备的教育、工作经历、审核员培训和审核经历7.2.1.3.1 以下准则适用于 ISMS 审核组中的每个审核员。审核员应:a) 具备中等教育程度;b) 在信息技术方面具备至少 4 年的全职实际工作经历,其中具备至少 2 年与信息安全有关的职位或职责的工作经历;c) 成功地完成 5 天的培训,包括 ISMS 审核和审核管理在内的培训范围被认为是适宜的;d) 在作为审核
17、员行使职责之前,已获得评审信息安全整个过程的经验。这种经验宜通过参与最少 4 次、总共天数为 20 天认证审核获得,包括文件评审和风险分析,实施评审和审核报告;e) 具备时宜的工作经历;f) 能够宏观地观察复杂的运行,并理解各单元在更大的客户组织中的职能;g) 通过持续的专业发展,保持信息安全和审核知识和技能的更新。技术专家应遵守准则 a),b), e)和 f)。7.2.1.3.2 除了 7.2.1.3.1 中的要求,审核组组长应满足以下要求。这些要求应在指导和监督下进行的审核中得到证明的:a) 具备管理认证审核过程的知识和素质;b) 至少具有一名实施过 3 次完整 ISMS 认证审核的审核员
18、;c) 证明具备口头和书面的有效沟通的能力。7.3 外部审核员和外部专家的使用ISO/IEC 17021:2006 的 7.3 条款中的要求适用。另外,以下 ISMS 特定要求和指南适用。7.3.1 使用外部审核员或外部技术专家作为审核组的一部分当使用外部审核员或外部技术专家作为审核组成员时,认证机构应确保其能够胜任及遵守本标准适用的规定,并不以直接或通过其雇主参与对 ISMS 或相关管理体系的设计、实施或维护的方式使以公正性受到威胁。7.3.1.1 技术专家的使用具有有关影响客户组织的过程和信息安全问题与法律方面的特定知识,但未必满足 7.2 的所有准则的技术专家,可以成为审核组成员。技术专
19、家应在审核员的监督下进行工作。7.4 人员记录ISO/IEC 17021:2006 的 7.4 条款中的要求适用。7.5 外包ISO/IEC 17021:2006 的 7.5 条款中的要求适用。8. 信息要求81 可公开获取的信息ISO/IEC 17021:2006 的 8.1 条款中的要求适用。另外,以下 ISMS 特定要求和指南适用。8.1.1 授予、保持、扩大、缩小、暂停和撤消认证的程序认证机构应要求客户组织建立并实施文件化的 ISMS,并符合 ISO/IEC27001 的要求和认证所需其他文件的要求。认证机构应具备形成文件的程序, a) 根据 GB/T19011-2003 和 ISO/
20、IEC17021:2006 和其他相关文件的规定,对客户组织ISMS 进行初次认证审核;b) 根据 GB/T19011-2003 和 ISO/IEC17021:2006,对客户组织 ISMS 定期进行监督和再认证审核,以确认其持续符合性相关要求和验证,记录客户组织对未纠正及时采取纠正措施。82 认证文件ISO/IEC 17021:2006 的 8.2 条款中的要求适用。另外,以下 ISMS 特定要求和指南适用。8.2.1ISMS 的认证文件认证机构应向 ISMS 获证的每个客户组织提供认证文件,例如信函或由负责此项职责的人员签署的认证证书。对客户组织和认证覆盖的每个信息系统,这些文件应识别授予
21、的认证范围和 ISMS 的标准 ISO/IEC 27001:2005。另外,证书宜包括适用性声明的特定版本的引用。83 获证客户名录ISO/IEC 17021:2006 的 8.3 条款中的要求适用。84 认证的引用和标志的使用ISO/IEC 17021:2006 的 8.4 条款中的要求适用。另外,以下 ISMS 特定要求和指南适用。8.4.1 认证标志的控制认证机构应对认证标志的所有权、使用权和显示方式进行适当的控制。如果认证机构授权使用标志来表明对 ISMS 的认证,认证机构宜确保客户组织仅使用由认证机构书面授权的规定的标志。认证机构不应授权在产品上使用这一标志,或以表示产品合格的方式使
22、用这一标志。85 保密性ISO/IEC 17021:2006 的 8.5 条款中的要求适用。另外,以下 ISMS 特定要求和指南适用。8.5.1 组织记录的获取在认证审核之前,认证机构应要求客户组织报告是否有一些 ISMS 的记录由于包含保密性或敏感性的信息不能供审核组进行复核。认证机构应确定 ISMS 是否在缺少这些记录的情况下得到充分地审核。如果认证机构得出不对已识别的保密性或敏感性的信息进行复核就不能对 ISMS 进行充分审核这一结论,就应建议客户组织认证审核不能进行,直至获得适当的获取准许。86 认证机构与其客户间的信息交换ISO/IEC 17021:2006 的 8.6 条款中的要求
23、适用。9过程要求91 通用要求ISO/IEC 17021:2006 的 9.1 条款中的要求适用。另外,以下 ISMS 特定要求和指南适用。9.1.1 通用 ISMS 审核要求9.1.1.1 认证审核准则客户 ISMS 接受审核的准则应是 ISMS 标准 ISO/IEC27001:2005 中提出的准则和与所实施的职能相关的认证所需的其他文件中的准则。如果要求将解释说明作为这些文件具体在认证方案中的应用,这样的解释说明应由相关及公正的、具备必要的技术能力的委员会或个人给出并由认证机构发布。9.1.1.2 政策和程序认证机构的文件应包括实施认证过程的政策和程序,其中包括检查 ISMS 认证所使用
24、的文件的使用和应用,及审核和认证客户组织的 ISMS 程序。9.1.1.3 审核组应正式任命审核组并为其提供相应的工作文件。审核计划和日期应得到客户组织的同意。明确对审核组的任命,并使客户组织知悉,应要求审核组检查客户组织的结构、政策和程序进,来确认这些满足与认证范围相关的所有要求,还应确认程序得到实施及为客户组织的 ISMS 提供信心。9.1.2 认证范围审核组应针对所有适用的认证要求,对包含在限定范围内的客户组织的 ISMS 进行审核。认证机构应确保客户组织的 ISMS 的范围和界限,根据其业务特点、组织、所处地理位置、资产和技术得到清晰的限定。认证机构应确认,在 ISMS 范围内,客户组
25、织说明了ISO/IEC27001:2005 的 1.2 条款所陈述的要求。认证机构应确保客户组织的信息安全风险评估和风险处理正确地反映其各种活动,并将其限定在 ISMS 标准 ISO/IEC27001:2005 所限定的活动之内。认证机构应确认这些在客户组织的 ISMS 范围和适用性声明中得到反映。认证机构应确保与不完全属于 ISMS 范围内的服务和活动的界面在接受认证的 ISMS 中得到说明,并包括在客户组织的信息安全风险评定中。对这种情况的举例是与其他机构的设备共享(例如:信息技术系统、数据库和通讯系统) 。9.1.3 审核时间认证机构应允许审核组有充裕的时间进行与初次审核、监督审核或再认
26、证审核相关的所有活动。所分配的时间宜以下列因素为依据:a) ISMS 范围的大小(例如:所使用的信息系统的数量、员工的数量) ;b) ISMS 的复杂程度(例如:信息系统的危险程度、ISMS 的风险状况) ,见附录 A;c) 在 ISMS 范围内进行的业务类型;d) 在实施 ISMS 各种不同组成部分(例如:已实施的控制、文件和/或过程控制、纠正/改进措施等)所应用技术的程度和多样性;e) 场所的数量;f) 先前已证明 ISMS 的绩效;g) 在 ISMS 范围内,外包的范围和所使用的第三方协议;h) 适于认证的标准和法规。附录 C 提供对审核时间的指南。认证机构应准备好用于初次审核、监督审核
27、和再认证审核的时间进行证实并证明其合理性。9.1.4 多场所9.1.4.1 在 ISMS 范围内的多场所抽样决定应比用于质量管理体系的同样决定更加复杂。在客户组织拥有多个场所满足以下 a)至 c)的准则的情况,认证机构可以考虑使用以抽样为基础的方法进行多场所认证审核:a) 所有的场所在相同的 ISMS 下运行,它们被集中管理和审核并提交集中的管理评审;b) 所有的场所都包含在客户组织的 ISMS 内部审核方案中;c) 所有的场所都包含在客户组织的 ISMS 管理评审方案中。9.1.4.2 希望使用以抽样为基础的方法的认证机构应具备程序,以确保以下:a) 初次的合同评审在最大程度上识别场所的差异
28、,以便确定足够的抽样量。b) 由认证机构对具有代表性的场所进行抽样,考虑:1) 总部和其他场所的内部审核的结果;2) 管理评审的结果;3) 场所规模差异;4) 各场所进行的业务目的的差异;5) ISMS 的复杂程度;6) 各场所的信息系统的复杂程度;7) 工作作业的差异;8) 所进行活动的差异;9) 与关键的信息系统或处理敏感信息的信息系统的潜在的相互作用;10) 任何不同的法律要求。c) 从客户组织的 ISMS 范围内所有场所中挑选具有代表性的样本。宜于通过判断性选择进行挑选,以反映上述 b)中罗列的因素以及某种随机要素。d) 包含在遭受重大风险的 ISMS 里的每个场所由认证机构在认证之前
29、进行审核。e) 根据以上要求,设计监督审核方案,并在合理的时间内覆盖客户组织的所有场所或ISMS 范围内的所有场所。f) 无论是在总部还是其他单一场所,在观察到不合格的情况,纠正措施程序适用于包括在认证范围内的总部和所有场所。下列 9.1.5 表述的审核应说明客户组织总部的活动,以确保单一的 ISMS 适用于所有场所,并在运行层面交付集中管理。审核应说明上述所有问题。9.1.5 审核方法认证机构应具备要求客户组织证明其确定了 ISMS 内部审核的时间,方案和程序具备操作性并能够操作的程序。认证机构的程序不宜预示 ISMS 实施的特殊方式或文件和记录的特殊格式。认证程序应重点确保客户组织的 IS
30、MS 满足 ISO/IEC 27001:2005 标准的要求及客户组织的方针和目标。如适宜,审核计划宜识别在审核中使用的网络支持的审核技术。注:网络支持的审核技术可包括,例如电话会议、web 会议、互动式的基于 web 的沟通和远程的电子方式获取 ISMS 文件和访问过程。这种技术的重点宜是提高审核的有效性和效率,并支持审核过程的完整性。9.1.6 认证审核报告9.1.6.1 认证机构可以采用适合其需要的报告程序,但这些程序最低限度应确保:a) 在离开客户组织场所前,在审核组和客户组织管理者之间召开一次会议,审核组在此场所提供1) 有关客户组织的 ISMS 是否符合特殊认证要求的的书面或口头说
31、明;2) 客户组织就审核发现及其根据提出问题的机会。b) 审核组向客户组织就关于客户组织的安全管理体系符合 ISMS 所有认证要求的审核发现提供审核报告。9.1.6.2 审核报告宜提供以下信息:a) 包括文件评审摘要在内的审核说明;b) 客户组织信息安全风险分析的认证审核报告;c) 所使用的全部审核时间和分别用于文件评审、风险分析评定、现场评审和审核报告时间的详细说明;d) 后续的审核询问、挑选的基本原理和所采用的方法。9.1.6.3 向认证机构提供的审核发现的审核报告应具备充足的详细情况,有助于并支持认证决定,包括:a) 审核包含的区域(例如:认证要求和接受审核的场所) ,包括后续的重大审核
32、跟踪和所使用的审核方法(见 IS 9.1.5);b) 获得的观察,正面的(例如:值得注意的特点)和负面的(例如:潜在的不合格) ;c) 客观证据和不符合所引用的 ISMS 标准 ISO/IEC27001:2005 和认证所需的其他文件的要求支持的、已识别的任何不符合的详细情况;d) 对客户组织 ISMS 符合认证要求并清楚地说明不符合的意见,适用性声明版本的引用,及在适用的情况下,与客户组织先前的认证审核结果的任何有用的对照。完整的问卷、检查清单、观察、日志或审核员笔记可能构成完整的审核报告的一部分。如果使用这些方法,这些文件应提供给认证机构,作为支持认证决定的证据。在审核过程中,有关被评价样本的信息宜包含在审核报告或其他认证文件中。报告应考虑客户组织所采用的内部组织和程序的充分性,以便对 ISMS 建立信心。除了记录在 ISO/IEC27001:2005 条款 9.1.10 中的要求,报告宜包括:对 ISMS 内部审核和管理评审的信任度;有关 ISMS 的实施和有效性的最重要的正面与负面观察的 摘要;关于是否授予客户组织 ISMS 认证的审核组的建议,以及支持该建议的信息。92 初次审核和认证ISO/IEC 17021:2006 的 9.2 条款中的要求适用。另外,以下 ISMS 特定要求和指南适用。9.2.1 审核组的能力